Was ist ein Endbenutzer-Computing (EUC)-Risiko?
Ein Gastbeitrag von Sam Lee, Leiter des Bereichs Operational Risk, EMEA, SMBC, Torchlight Services
End User Computing ist ein System, in dem Benutzer in der Lage sind, funktionierende Anwendungen zu erstellen, abgesehen von dem geteilten Entwicklungsprozess von Entwurf, Erstellung, Test und Freigabe, der normalerweise von Softwareingenieuren befolgt wird. Microsoft Excel ist vielleicht eines der bekanntesten Beispiele für eine EUC-Plattform.
In diesem Sinne ist das EUC-Risiko das Potenzial für Fehler in wichtigen EUC-Geschäftsdokumenten wie Tabellenkalkulationen. Die Flexibilität von EUCs kann dazu führen, dass in diesen kritischen Unternehmensdokumenten Fehler gemacht werden. Da die von EUCs produzierten Daten von der Geschäftsleitung und anderen Endnutzern allgemein akzeptiert werden und auf sie vertraut wird, kann dies schnell zu fehlerhaften Daten führen, was wiederum das Risiko von finanziellen und Reputationsverlusten erhöht.
Warum ist das EUC-Risiko wichtig?
Obwohl das EUC-Risiko universell ist, ist es nicht so bekannt oder vielleicht nicht einmal anerkannt wie andere Unternehmensrisiken, z. B. betriebliche, finanzielle und regulatorische Risiken (oder deren Unterkategorien). "Warum muss ich mich um das EUC-Risiko kümmern?", wird oft gefragt. Dafür gibt es zwei Gründe.
Das EUC-Risiko besteht in erster Linie in jedem Unternehmen, das sich auf Tabellenkalkulationen, Datenbanken und andere "künstliche" Datenverarbeitungswerkzeuge außerhalb des IT-Anwendungszyklus verlässt. Die Höhe des Risikos richtet sich nach dem Rahmen für das Risikomanagement im Unternehmen, aber es ist unwahrscheinlich, dass ein Unternehmen die oben genannten Anwendungen nicht nutzt.
Zweitens trägt das EUC-Risiko zu einer ganzen Reihe anderer operativer, regulatorischer und verhaltensbezogener Risiken bei. Zwischen EUC und anderen Risiken gibt es eine Vielzahl von Wechselwirkungen - die alle zusammen zum Unternehmensrisiko beitragen. Das nachstehende Diagramm zeigt dies sehr deutlich.
Daher sollte man jede Organisation in Frage stellen , die behauptet, dass EUC-Risiken nicht in irgendeiner Form für sie relevant sind. Organisationen müssen sich unbedingt mit der Bedeutung des EUC-Risikos auseinandersetzen.
Die gute Nachricht ist, dass es möglich ist, das Risiko des Endbenutzer-Computings zu verwalten und zu kontrollieren , auch wenn es grundsätzlich im gesamten Unternehmen vorhanden ist. Wo ist also der logische Ort, um anzufangen?
Das Risiko des Endbenutzer-Computings ist eine oft unterschätzte Bedrohung, da die Daten von EUCs die Grundlage für wichtige Geschäftsentscheidungen und Berichte bilden. Hier sind einige Top-Tipps für das Management Ihres EUC-Risikos:
Verstehen Sie die EUC-Population in Ihrem Unternehmen - die Arten von EUC-Anwendungen, die verwendet werden; wie viele es von jedem Typ gibt; und wie hoch die Komplexität oder das inhärente Risiko der verschiedenen Dateien ist - d. h. welche stark kodiert sind, Makros verwenden, auf Verbindungen zu anderen Tabellenkalkulationen, Datenbanken usw. angewiesen sind.
Bestimmen Sie die "Kritikalität" der EUCs für das Unternehmen. Die Kritikalität muss auf der Grundlage der quantitativen (Dollarverlust) und qualitativen (Reputationsrisiko, Kundengefährdung, behördliche Sanktionen, Verlust von Geschäftsfunktionen) Auswirkungen auf das Unternehmen bewertet werden, wenn diese Dateien verloren gehen oder auf andere Weise unwissentlich beschädigt oder verändert werden. Wie hoch wären beispielsweise die Kosten für das Unternehmen, wenn der Ersteller einer wichtigen Tabellenkalkulationsanwendung das Unternehmen verlassen würde? Wäre ein anderes Teammitglied in der Lage, die Funktionsweise der Anwendung zu verstehen und sie zu warten? Wäre es in der Lage, die Integrität der Anwendung zu testen, falls versehentlich oder böswillig Änderungen an Codes oder Makros in der Anwendung vorgenommen werden?
Eine Politik entwerfen für die Erstellung eines EUC-Inventars, einschließlich Definitionen für die verschiedenen Risikostufen und die damit verbundenen Kontrollen, die auf der Grundlage der Kritikalität der Dateien eingeführt werden müssen. Darüber hinaus muss die Richtlinie auch Regeln für die Dokumentation, Prüfung und Pflege des EUC-Inventars auf der Grundlage ihrer Kritikalitätseinstufung enthalten. Es liegt auf der Hand, dass die Regeln umso strenger sind, je höher die Kritikalität ist, und dass die Richtlinien umso strenger sind.
Erstellen Sie eine Heatmap der kritischen EUCs und zeigen Sie anhand von Schlüssel-Risiko-Indikatoren, wo die säumigen EUCs liegen. Diese Darstellung wird der Organisation helfen, Korrekturmaßnahmen zu ergreifen.
Konzentrieren Sie sich auf die kritischsten EUCs, verstehen Sie ihre Verwendung und ordnen Sie sie den potenziellen weitergehenden Risiken zu, die in der Risikobibliothek des Unternehmens ermittelt wurden. Beurteilen Sie beispielsweise, ob eine der Tabellenkalkulationsanwendungen Auswirkungen auf andere Risiken wie internen Betrug oder Finanzberichterstattung hat, Datenverwaltung und so weiter.
Aufgrund des Umfangs der Tabellenkalkulations- und EUC-Nutzung in den meisten Unternehmen ist es fast unmöglich, diese Art von End-to-End- und granularen Ansatz manuell durchzuführen. Es ist nicht nur schwierig, die EUCs ganzheitlich zu identifizieren und zu inventarisieren, sondern auch die Zusammenhänge und die entsprechenden Auswirkungen kritischer Tabellenkalkulationen auf andere Unternehmensrisiken zu bestimmen.
Es ist auch fast unmöglich, Änderungen an Code, Makros usw. manuell zu verfolgen, unabhängig davon, ob die Änderungen absichtlich und in gutem Glauben vorgenommen wurden oder nicht. Die Einführung von Technologien, die die Erkennung, Bestandsaufnahme, Durchsetzung von Richtlinien, Kontrolle und allgemeine Verwaltung der EUC-Landschaft automatisieren, ist der kosteneffizienteste und sicherste Weg nach vorn.
PolicyHub entdecken
Es handelt sich um eine benutzerfreundliche Lösung für das Richtlinienmanagement, mit der Sie die Einhaltung von Vorschriften verbessern können.
